馮浩楠

(中國鐵道科學(xué)研究院集團有限公司通信信號研究所，北京 100081；2.國家鐵路智能運輸系統(tǒng)工程技術(shù)研究中心，北京 100081)

基于通信的列車控制系統(tǒng)(communication based train control，CBTC)系統(tǒng)采用以地面控制系統(tǒng)為中心的控制模式：列控系統(tǒng)和地面控制系統(tǒng)之間的雙向無線通信，具有較高的列車間距控制效率[1]，但由于地面控制系統(tǒng)仍然是控制中心，因此單個地面控制系統(tǒng)允許通信的列車數(shù)量受到限制；同時地面控制系統(tǒng)和列控系統(tǒng)之間復(fù)雜的控制流程制約了列車運行速度提升。為了克服這些限制，車車通信(vehicle based train control, VBTC)系統(tǒng)提出以列車為控制中心的架構(gòu)方式[2]，取消了CBTC系統(tǒng)中地面控制系統(tǒng)中的計算機聯(lián)鎖(computer interlocking, CI)和區(qū)域控制器(zone controller, ZC)控制系統(tǒng)，增加對象控制器(object controller, OC)用于控制軌旁道岔(point machine, PM)。列車不需要依靠地面控制系統(tǒng)的控制命令，可通過無線通信直接與周圍列車或者軌旁設(shè)備直接通信，實現(xiàn)列車的自主運行，該架構(gòu)在提升列車運行效率、擴大列車運能的同時，減少地面設(shè)施投資成本，與CBTC系統(tǒng)相比顯現(xiàn)優(yōu)勢[3-5]，在實際應(yīng)用中，國外RCAS(railway collision avoidance system)系統(tǒng)[6], AATC(advanced automatic train control)系統(tǒng)[7]和Urbalis Fluence系統(tǒng)[8]遵循VBTC系統(tǒng)架構(gòu)進行了初步的試驗和應(yīng)用探索。

VBTC系統(tǒng)按照控制對象包括車車通信控制和車地通信控制兩方面。在車地通信控制方面，VBTC系統(tǒng)取消保證進路安全的地面聯(lián)鎖系統(tǒng)后，列車直接與OC通信進而控制PM，OC作為車地控制流程中的重要環(huán)節(jié)，其安全可靠的設(shè)計關(guān)系到行車安全。文獻[9-10]給出了OC設(shè)計方案，文獻[11]提出共享鎖和獨立鎖的方案對道岔進行控制，但都是局限于列車與OC之間通信研究，交互場景不全面，缺少對VBTC系統(tǒng)整體車地控制流程的形式化分析，實用性有限。在實際運行中，OC作為地面直接控制道岔的安全設(shè)備，正常情況下，需要與車載系統(tǒng)保持通信完成列車對道岔控制；在特殊情況下，OC還需要實現(xiàn)與自動列車監(jiān)控(automatic train supervision, ATS)系統(tǒng)進行通信，完成指揮中心的人工道岔控制操作。如何保證OC能夠正確地處理兩個命令來源、安全可靠地完成道岔控制是VBTC系統(tǒng)車地控制流程急需解決的安全問題。

為了保證信號系統(tǒng)的安全性，EN50128 標準推薦形式化方法應(yīng)用于信號系統(tǒng)的設(shè)計與驗證環(huán)節(jié)[12]。標簽轉(zhuǎn)移系統(tǒng)(label transition system, LTS)的形式化方法通過圖形方式描述系統(tǒng)內(nèi)部狀態(tài)轉(zhuǎn)換行為，進而評估系統(tǒng)運行控制流程，適用于實時并發(fā)系統(tǒng)的行為特征分析，在計算機安全平臺、RSSP-1協(xié)議和ERTMS/ETCS系統(tǒng)需求規(guī)范的安全屬性驗證中得到了良好的應(yīng)用，加速系統(tǒng)的開發(fā)和應(yīng)用進程[13-15]?，F(xiàn)提出唯一秘鑰的方式實現(xiàn)列車對地面道岔共享資源的控制，基于LTS形式化方法對OC信息交互處理機制和VBTC系統(tǒng)的車地控制機理進行分析，驗證其邏輯的合理性和有效性。

1 VBTC系統(tǒng)

1.1 VBTC系統(tǒng)架構(gòu)

VBTC系統(tǒng)分為車載控制系統(tǒng)和地面控制系統(tǒng)。車載控制系統(tǒng)包括：列車自動保護(automatic train protection, ATP)系統(tǒng)、列車自動駕駛(automatic train operation, ATO)系統(tǒng)、車載聯(lián)鎖(on-board interlocking, OI)系統(tǒng)、應(yīng)答器讀取器(tag reader)；地面控制系統(tǒng)包括：OC、PM、ATS系統(tǒng)和應(yīng)答器(tag)。數(shù)據(jù)通信系統(tǒng)(digital communication system, DCS)實現(xiàn)車地系統(tǒng)之間的通信功能，各個子系統(tǒng)的功能如表1所示。列車根據(jù)ATS系統(tǒng)命令前進，實時與地面OC通信，ATP系統(tǒng)負責列車行進安全。OI將列車控制命令傳輸給OC。OC操作軌旁PM，并將PM的狀態(tài)信息傳送給OI，VBTC系統(tǒng)架構(gòu)如圖1所示。

表1 VBTC系統(tǒng)控制子系統(tǒng)的位置及功能

圖1 VBTC系統(tǒng)架構(gòu)

圖2 VBTC系統(tǒng)中車載設(shè)備與地面設(shè)備交互過程

1.2 車地控制機理

車地控制場景指列車行進中，車載設(shè)備指示地面OC轉(zhuǎn)動道岔，為列車行進辦理進路。場景包括車載設(shè)備直接與軌旁O(shè)C進行通信控制和ATS系統(tǒng)直接控制軌旁O(shè)C兩種情況。

1.2.1 車載控制PM場景

車載系統(tǒng)的OI定期與OC通信，OC向車載系統(tǒng)定期報告前進進路中所有PM的狀態(tài)。PM是共享資源，一次只能供一個列車占用。為了防止死鎖和控制權(quán)的沖突，車載系統(tǒng)的OI采用以下安全控制算法防護和控制進路共享資源PM，流程如圖2所示。

(1)列車的OI確認從OC接收的PM狀態(tài)處于空閑狀態(tài)，發(fā)送密鑰的請求到OC。

(2)OC檢查PM的狀態(tài)，如果PM資源可使用，然后生成唯一密鑰并將其發(fā)送到OI。

(3)OI使用密鑰將PM的轉(zhuǎn)換命令加密后發(fā)送到OC。

(4)OI確認PM鎖閉，通過OC控制區(qū)域時，定期狀態(tài)仍保持與OC通信，直到列車完全通過OC控制區(qū)。

(5)列車完全離開OC控制區(qū)域，OI發(fā)送解鎖密鑰值傳輸?shù)絆C。

(6)OC收到OI的解鎖密鑰后，解鎖PM。

每次車載OI發(fā)出新的請求時，OC會生成新的唯一密鑰。密鑰是一個足夠長的值，防止密鑰沖突。如果特定PM收到來自多列列車的OI請求，OC僅為其中一個列車提供密鑰，不允多個列車同時占用。

圖3展示了列車通過由三個OC控制區(qū)域的場景。列車的ATP產(chǎn)生移動授權(quán)(move authority, MA)到X點，列車前進的進路中包含的3個OC，標識分別為1A、2和3。列車的OI訪問OC以確保標識1A、2和3的PM處于安全鎖閉狀態(tài)，同時獲得唯一的密鑰。如果有其他列車上的OI或者ATS系統(tǒng)已經(jīng)占用了某個PM，列車需要等待直到PM狀態(tài)被解除占用。列車在獲得唯一密鑰后將控制相應(yīng)的PM，并結(jié)合電子地圖信息，車載ATP計算出安全路線?；诎踩肪€，列車的ATP將MA擴展到Y(jié)點。當列車順序行駛過1A、2和3的OC控制區(qū)域后，會給相應(yīng)的OC發(fā)送解鎖命令，相應(yīng)的PM會按順序解鎖。

圖3 列車OI通過OC控制區(qū)域場景

1.2.2 ATS控制PM場景

如果操作員通過ATS系統(tǒng)直接向OC發(fā)送強制動作PM的命令請求，則該請求發(fā)送到路線上所有車輛的OI。如果待轉(zhuǎn)動的PM處在列車進路中，需要結(jié)合列車位置判斷PM的轉(zhuǎn)動時機。當列車的制動距離超過OC控制區(qū)域的1/4時，ATS系統(tǒng)的強性轉(zhuǎn)動PM操作可能發(fā)生脫軌，此時列車的OI拒絕ATS的PM操作請求，PM保持被列車OI控制的狀態(tài)，直到列車通過OC控制區(qū)，如圖4(a)所示。當列車的制動距離不超過OC控制區(qū)域的1/4區(qū)域時，車載OI可以取消進路并解鎖PM，將PM的控制權(quán)交給ATS系統(tǒng)，如圖4(b)所示。列車ATP取消進路后，列車的MA被縮短至PM前方，如圖4(c)所示。

圖4 ATS操作OC場景

2 車地控制形式化建模

LTS將VBTC系統(tǒng)的車地控制行為描述為一系列過程P組成，過程P可以用四元素描述；S為非空狀態(tài)集合，A為有限的標簽集，T為轉(zhuǎn)移關(guān)系，q0是S的初始狀態(tài)。

由VBTC系統(tǒng)的控制PM的場景可以發(fā)現(xiàn)，OC為整個控制流程的中樞，因此以O(shè)C為研究對象，建立標簽集A如下：

A={ occhkreq,oikeyreq,atskeyreq,occhkpm,pmstlk,sndkey,oisndcmd,atssndcmd,ocsndcmd,pmrot,pmrest,chkatpst,atpok,atpno}

各個標簽的含義如表2所示。LTS建模VBTC系統(tǒng)的車地控制狀態(tài)轉(zhuǎn)移流程S如下：Ti(i=1,2,…,10)為轉(zhuǎn)移分支。

S=T1,

T1=(occhkreq→oikeyreq→T2|

occhkreq→atskeyreq→T2),

T2=(occhkpm→T3|

occhkpm→T4),

T3=(pmstlk→sndlock→T1),

T4=(pmstunlk→sndkey→T5|

pmstunlk→sndkey→T6),

T5=(oisndcmd→T7),

T6=(atssndcmd→T8),

T7=(ocsndcmd→pmrot→pmrest→T8),

T8=(chkatpst→T9|

chkatpst→T10),

T9=(atpok→T7),

T10=(atpno→T3).

表2 VBTC系統(tǒng)車地控制流程的LTS模型

3 實驗分析

圖5為VBTC系統(tǒng)車地控制流程的LTS模型的標簽轉(zhuǎn)移過程，VBTC系統(tǒng)的車地控制中存在17個轉(zhuǎn)移狀態(tài)。圖6為LTSA軟件對LTS模型的檢查結(jié)果，結(jié)果表明軟件對模型的分析時間為1 ms，模型中不存在死鎖現(xiàn)象，車地控制流程安全可靠。

為了驗證LTS方法建模的有效性，將其與人工檢查對車車通信系統(tǒng)的車地控制流程進行分析，以流程死鎖檢查正確率，死鎖檢查時間為評價指標進行對比，對比如表3所示。

表3表明，LTS方法的死鎖檢查率為100%，且建模耗時較短，效率遠高于人工檢查。因為LTS可以對并行邏輯可以精準描述，而人工分析方法對并行行為會存在遺漏情況；LTS方法將控制流程采用符號集的方式直接轉(zhuǎn)換為形式化模型并進行計算機運算，實現(xiàn)速度很快，而人工測試方法在編寫案例測試方面花費太多時間。

表3 LTS模型與人工檢查正確率對比

圖5 LTSA軟件對VBTC系統(tǒng)車地控制模型的驗證結(jié)果

Composition:DEFAULT=SStateSpace: 17=2??5Analysing...Depth9—States:17Transitions:21Memoryused:14980KNodeadlocks/errorsAnalysedin:1ms

圖6 LTSA軟件檢測結(jié)果

Fig.6 Detection result by LTSA software

4 結(jié)論

作為一種新的控制系統(tǒng)，VBTC系統(tǒng)為了實現(xiàn)以列車為控制中心的運行方式，使用OC代替CBTC系統(tǒng)中的地面聯(lián)鎖系統(tǒng)，全新的控制流程的改變引入了系統(tǒng)的安全風(fēng)險。使用唯一密鑰控制方式設(shè)計OC交互機制，實現(xiàn)列車對線路中道岔共享資源的控制。為了驗證設(shè)計的可靠性，基于LTS形式化方法對VBTC系統(tǒng)中的車地控制流程進行了建模，并使用LTSA軟件對模型進行了快速分析。結(jié)果驗證了設(shè)計的VBTC系統(tǒng)車地控制流程的正確性；與人工分析對比，LTS建模方法在準確性和效率上存在明顯的優(yōu)勢，可以推廣至其他復(fù)雜控制系統(tǒng)的設(shè)計和驗證中。

僅對VBTC系統(tǒng)的OC和車地控制流程進行了理論設(shè)計和驗證，后續(xù)將基于此設(shè)計，搭建VBTC系統(tǒng)實物系統(tǒng)，基于VBTC系統(tǒng)車地通信實驗數(shù)據(jù)，優(yōu)化配置VBTC系統(tǒng)中車載設(shè)備、OC等關(guān)鍵設(shè)備的通信參數(shù)，實現(xiàn)VBTC系統(tǒng)的可靠運行。